没网络也能支付?揭开支付宝和微信付款码的秘密

移动支付现在非常的普及,说夸张点,连乞丐都支持扫码收钱了。我们最常用的支付宝和微信支付相信已经有非常多的用户在使用了,因为确实非常方便,出门不需要携带那么多现金,付账扫码就可以了。当然在实际使用中我们也会遇到像手机欠费或者信号不好不能联网的情况,这个时候其实也是可以实现完成支付的。

没网络时也能进行支付(离线支付),是一个听上去挺神奇,实现原理又很巧妙的支付方式。

离线支付的全过程如下图所示。用户出示付款码,商家使用扫码枪等扫描付款码完成收款。

离线支付的关键点一:付款码可以离线生成

付款码生成过程:

1、用户打开支付宝App时,会向服务端申请令牌种子;

2、支付宝服务器会根据算法生成一个令牌种子,返回给支付宝App;

3、支付宝App得到令牌种子后,根据算法生成付款码(可以离线生成)。

离线支付的关键点二:付款码是一次性且实时更新

1、支付宝App生成的付款码会包含有用户标识、令牌值等信息;

2、付款码是一次性的,且每分钟会更新一次。

这样就不会出现别人把你的付款码打印出来再去付款。

离线支付的关键点三:付款码能离线,扫码枪需在线

付款码离线支付过程:

1、线下支付时,用户打开支付宝App,出示付款码(可以离线);

2、商家用扫码枪读取付款码,并上传至支付宝服务器;

3、支付宝服务器收到商家传来的付款码后,与令牌系统里保存的信息进行对比;

4、比对通过则创建支付订单,并返回给商户订单信息,如果余额足够便可完成支付。

也就是说,付款方可以离线,但收款方得在线。通过在线的收款方搭桥,将离线的付款信息传到支付宝服务器端进行校验。

离线支付的特殊情况:付款方、收款方双离线

前面说到离线支付通常得付款方、收款方有一方得在线。但有一种特殊的场景,双方都能离线。

在支付宝的城市服务里,有公交付款的功能,目前已在部分城市部分线路落地。将来出门再也不必带公交卡、带零钱了,带着手机就行。开通这个功能的用户,页面会生成特定的付款码(与支付宝首页的付款码不是同一个),通过花呗进行付款,也是一次性、每分钟更新的。

用户乘坐公交车时,用公交车付款码进行付款。但有些公交车的收款系统不是实时在线的,可能是一路车跑完一趟后联网,也可能是一天结束时联网,而只有在公交车的收款系统联网时才会进行扣费。

所以一句话来说,就是手机离线,就通过扣款电脑搭桥做安全验证;如果双方都离线,就先记账,等能做安全验证时再扣款。

原文发布于微信公众号 - 钱塘大数据(qtbigdata)

原文发表时间:2017-10-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏郭耀华‘s Blog

易客——无线点餐系统

易客——无限点餐系统 ? 项目地址 https://github.com/guoyaohua/yike 宣传视频 http://v.youku.com/v_sh...

4165
来自专栏网络安全防护

多家P2P网贷平台因DDOS攻击而倒闭,P2P平台该怎么应对?

最近这几年,国内P2P网贷平台大规模进入市场,在高速发展的同时,倒闭跑路、投资者信息安全等一系列问题层出不穷。一大波黑客也盯上了P2P平台这一块“肥肉”,黑客通...

1800
来自专栏FreeBuf

爆料 | 安卓“间谍门”事件愈演愈烈,又一家中国公司被曝在300万台安卓设备中植入rootkit

今年11月15日左右,美国多家媒体爆料上海广升的固件OTA方案存在后门,其固件会每隔72小时就把你所有的短信内容、联系人等都发送到中国服务器,这种软件监视用户去...

1987
来自专栏FreeBuf

新型Android恶意软件可对手机造成物理损坏

由于最近加密货币价格大幅上涨,无论是黑客还是网站管理员都在越来越多地使用基于JavaScript的挖矿脚本,通过利用访客PC的CPU能力来挖掘比特币或其他加密货...

2117
来自专栏FreeBuf

揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述 行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早...

4747
来自专栏魏艾斯博客www.vpsss.net

HostXen-美国西海岸 Xen CPU2 核 内存 2048M 35G SSD 硬盘 5Mbps 不限流量

2894
来自专栏FreeBuf

关于弱密码摄像头被入侵实验

前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 证实可行 首先,根据网上的资料,我们...

4056
来自专栏黑白安全

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “pa...

951
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(三)

2016年中国网络空间安全年报 1.3. 站点安全事件分析 2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除...

2776
来自专栏腾讯云数据库(TencentDB)

A站被黑,你的数据库安全吗?

小编通过自身的数据库多年的从业经验,针对利用云计算的基础实施如何做好数据库防护做个浅显的分享。

10.3K171

扫码关注云+社区